Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: Standa99 02 Července 2017, 15:12:51
-
Na WANu mám veřejnou IPv4 a globální IPv6 přímo od poskytovatele. Zajímavé že v /etc/network/interfaces nemám žádnou konfiguraci ohledně IPv6. Na routeru mi ping6 + traceroute6 funguje a http://test-ipv6.com/ vyhodí 10/10. Za NATem mám vnitřní síť, ze které bych chtěl také přistupovat na IPv6, ale z různých návodů nemám jasno, co použít. Nejblíž se mi jeví radvd, ale nechci to jen tak zkoušet na funkčním routeru. Předem dík za rady.
-
a to je fyzicky zapojeno jako (pc) <->|router|<->{isp/internet} a hledáte IPv6 na pc?
-
Ano přesně tak, jenom ještě podotknu, že na routeru/serveru běží Ubuntu 16.04 a na PC nepingnu ani globální IPv6 na WANu.
-
máte přidělen IPv6 rozsah alespoň <něco>/56 a případně ještě <něco na spoj>/64 ?
-
Od poskytovatele vím prefix/64. Každý jeho klient má optický router a ve vnitřní síti mají všechny zařízení globální IPv6 (IPv4 NATuje). Já mám za jeho routerem svůj s veřejnou IPv4 a globální IPv6 na WANu, takže bych potřeboval nějak ty IPv6 předat do vnitřní sítě.
-
jeden /64 opravdu nestačí (to je tak pro tu spojovací síť...)
-
Měl jsem představu, že za /64 je ještě hromada adres a když jsem se díval na ten radvd, což by měl být daemon, který by měl distribuovat IPv6 adresy dovnitř sítě, tak např. tady (http://mirrors.deepspace6.net/Linux+IPv6-HOWTO/hints-daemons-radvd.html) nebo tady (https://blog.linuxway.cz/2014/06/20/ipv6/) je použit /64 prefix.
-
no právě - máte router a chcete jej použít
pokud se však nechcete v budoucnu dostat s IPv6 do potíží, tak nebudete štípat síť na menší celky než /64
tedy minimálně jedna síť /64 je u routeru na WAN rozhraní a druhá v LAN (tam případně bude radvd...)
-
Díky za Vaši snahu, ale já to mám stále pomýlené, myslel jsem, že z toho rozsahu /64 ty adresy budu moci použít i uvnitř. To jsou kvanta adres vniveč a přijde mi to jako plýtvání (podle tohoto (http://www.gestioip.net/cgi-bin/subnet_calculator.cgi) kalkulátoru má /64 rozsah 18 ani nevím čeho adres).
Takže když mám jeden rozsah /64 na WANu, tak bych potřeboval další globální rozsah /64 uvnitř sítě a tím radvd bych to propojil a uvnitř bych je distribuoval přes DHCPv6 server? Link-local adresy by použít nešly?
-
ono je to ještě veselejší... :D
DHCPv6 používáme jen na dokonfiguraci DNS serverů protože ne všechny OS umí použít plnohodnotné DHCPv6 a ne všechny OS umí použít nastavení DNS z radvd ohlášení (ještě pozor na to, že to nepoužívá MAC pro identifikaci klienta ;-))
IPv6 link local adresy to použije stejně
můžete použít statickou IPv6 adresu
při ohlášení radvd OS použije autokonfigurovanou IPv6 adresu pomocí EUI-64 (tedy pokud to explicitně nepotlačíte v OS), mrkněte na https://networklessons.com/ipv6/ipv6-eui-64-explained/ (https://networklessons.com/ipv6/ipv6-eui-64-explained/) - všimněte si, že to používá právě 64b z IPv6 adresy a proto přidělený blok IPv6 nikdy neštípejte na menší sítě než /64 - to by byl hned problém...
pak to také může použít Privacy Extensions a z toho náhodně vznikající a zanikající dočasné IPv6 adresy (pokud to nepotlačíte v nastavení OS)
z toho vidíte, že to v dané síti bude mít na rozhraní klidně čtyři IPv6 adresy a všechny budou platné
ještě je dobré vědět, že ICMPv6 je docela zásadní a pokud jej chcete blokovat, tak velmi opatrně (jinak pravděpodobně způsobíte nefunkčnost lecjakých služeb)
pokud jsem na něco zásadního zapomněl, tak to snad někdo doplní
BTW mrkněte se i na https://knihy.nic.cz/ (https://knihy.nic.cz/) hlavně na https://knihy.nic.cz/files/edice/ipv6_2012.pdf (https://knihy.nic.cz/files/edice/ipv6_2012.pdf)
-
Já moc na to učení nejsem, spíše někde obšlehnu nějaký příklad :)
Stejně jsem globální IPv6 uvnitř sítě nechtěl, četl jsem si něco o NAT64, proxy z IPv4 do IPv6, protože podvědomě mám NAT jako základ bezpečnosti. Takhle bude vše na odstřel, i když mám podsítě (3xLAN + WLAN), tak to všude nepustím, ale když uvažuju, tak i vnitřní rozhraní na routeru dostanou globální IPv6.
Zkusím prudit poskytovatele, jestli mi dá pár rozsahů IPv6 navíc.
-
NAT rozhodně není základ bezpečnosti - to by byl zásadní omyl si něco takového myslet (je to jen taková potenciálně problémová obezlička navíc používaná poté, co bylo jasné, že dojdou IPv4 adresy)
pro bezpečnost potřebujete spíš paketové filtry nebo firewally
-
Stále si to o NATu myslím, mám trvale záplatovaný systém, takže to není žádná jednoúčelová krabička, které jsou děravé a často zapojené do botnetu. Takhle budu muset vše řešit až na koncových stanicích, kde např. u Windows stačilo mít desítky let jen antivir. Jednoduše mi do teď postačovalo hlídat WAN rozhraní, které bylo nedobytné. Vím o čem mluvím, mám 9 let veřejnou IP, kde veškeré profláknuté porty NATuju z nestandardních, na webovém serveru nepoužívám názvy jako phpmyadmin, wordpress, rainloop apod. a veškeré přihlašování hlídám fail2banem.
Edit:
Ještě mě napadlo, mám WAN (eth0) a za LAN (eth1) mám PC, ze kterého bych potřeboval přistupovat na IPv6 adresu kamerového systému (DVR Hivision) a kvůli tomuhle to celé podstupuji.
Když bych dal eth0 s eth1 do bridge br0, tak bych měl dostat IPv6 od poskytovatele na ten br0 a snad i na PC?
Asi úplně nejlepší bude tohle (https://techblog.synagila.com/2016/02/24/build-a-openvpn-server-on-ubuntu-to-provide-a-ipv6-tunnel-over-ipv4/), protože už tak mi na routeru běží dva OpenVPN serery a taky má v tom návodu na WANu jen /64 rozsah.
-
Tak ten s návod OpenVPN tunelem funguje a bohatě mi to stačí, na ten Hikvision se přes IPv6 dostanu i z vnitřní sítě.